Vanliga frågor och svar om Azure NAT Gateway

Här följer några svar på vanliga frågor om hur du använder Azure NAT Gateway.

Grunderna i Azure NAT Gateway

Vad är Azure NAT Gateway?

Azure NAT Gateway är en fullständigt hanterad, mycket elastisk utgående anslutningslösning för virtuella Azure-nätverk. För att uppnå säker och skalbar utgående anslutning ansluter du en NAT-gateway till undernät i ett virtuellt nätverk och till minst en statisk offentlig IP-adress.

Vad är prissättningen för Azure NAT Gateway?

Se Priser för Azure NAT Gateway.

Vilka är de kända gränserna för Azure NAT Gateway?

Se Gränser för Azure NAT Gateway.

Hur många NAT-gatewayresurser tillåts per prenumeration?

Antalet NAT-gatewayresurser som tillåts per prenumeration per region varierar beroende på typ av erbjudandekategori, till exempel kostnadsfri utvärderingsversion, betala per användning, Molnlösningsleverantör (CSP) och företagsavtal. företagsavtal och CSP-erbjudandetyper kan ha upp till 1 000 NAT-gatewayresurser. Sponsrade och betala per användning-erbjudandetyper kan ha upp till 100 NAT-gatewayresurser. Alla andra erbjudandetyper, till exempel kostnadsfri utvärderingsversion, kan ha upp till 15 NAT-gatewayresurser.

Kan en NAT-gateway användas mellan prenumerationer?

Nej, en NAT-gatewayresurs kan inte användas med fler än en prenumeration i taget. Stegvis vägledning finns i Skapa och konfigurera en NAT-gateway efter en regionflytt.

Kan en NAT-gateway flyttas från en region/prenumeration/resursgrupp till en annan?

Nej, en NAT-gateway kan inte flyttas mellan prenumerationer, regioner eller resursgrupper. En ny NAT-gateway måste skapas för den andra prenumerationen, regionen eller resursgruppen.

Kan en NAT-gateway användas för att ansluta inkommande?

En NAT-gateway ger utgående anslutning från ett virtuellt nätverk. Returnera trafik som direkt svar på ett utgående flöde kan också passera genom en NAT-gateway. Ingen inkommande trafik direkt från Internet kan passera via en NAT-gateway.

Hur hämtar jag loggar för min NAT-gatewayresurs?

Flödesloggar för virtuella nätverk (VNet) är en funktion i Azure Network Watcher som loggar information om IP-trafik som flödar genom ett virtuellt nätverk. Flödesdata från virtuella nätverksflödesloggar skickas till Azure Storage. Därifrån kan du komma åt data och exportera dem till alla visualiseringsverktyg, siem-lösningar (säkerhetsinformation och händelsehantering) eller intrångsidentifieringssystem (IDS).

VNet-flödesloggar tillhandahåller anslutningsinformation för dina virtuella datorer. Anslutningsinformationen innehåller källans IP-adress och port samt mål-IP och port samt anslutningens tillstånd. Trafikflödesriktningen och trafikens storlek i antal paket och byte som skickas loggas också. Käll-IP och port som anges i VNet-flödesloggen är för den virtuella datorn och inte NAT-gatewayen.

Allmän vägledning för att skapa och hantera flödesloggar för virtuella nätverk finns i Hantera flödesloggar för virtuella nätverk.

Hur gör jag för att ta bort en NAT-gatewayresurs?

Om du vill ta bort en NAT-gatewayresurs måste resursen först kopplas från undernätet. När NAT-gatewayresursen har tagits bort från alla undernät kan den tas bort. Vägledning finns i Ta bort en NAT-gatewayresurs från ett befintligt undernät och ta bort resursen.

Stöder en NAT-gateway IP-fragmentering?

Nej, en NAT-gateway stöder inte IP-fragmentering för TCP (Transmission Control Protocol) eller UDP (User Datagram Protocol).

NAT-gatewaymått

Vad är skillnaden mellan mått för antal SNAT-anslutningar och totalt antal SNAT-anslutningar för en NAT-gateway?

Måttet SNAT Connection Count visar antalet SNAT-anslutningar (new source network address translation) som görs per sekund. Måttet Totalt antal SNAT-anslutningar visar det totala antalet aktiva anslutningar på en NAT-gatewayresurs.

Hur kan jag se SNAT-portanvändning på en NAT-gateway?

Det finns inget SNAT-portanvändningsmått för en NAT-gateway. Använd måtten SNAT Connection Count och Total SNAT Connection Count för att utvärdera SNAT-kapaciteten för din NAT-gatewayresurs.

Hur kan jag lagra mina NAT Gateway-mått på lång sikt?

NAT-gatewaymått kan hämtas med hjälp av MÅTT REST API. Du kan också välja Dela och sedan Ladda ned till Excel från fönstret NAT-gatewaymått i Azure Portal.

Kan NAT Gateway-mått hämtas med hjälp av diagnostikinställningar?

Nej, NAT-gatewaymått kan inte exporteras med hjälp av diagnostikinställningar. NAT-gatewaymått är flerdimensionella. Diagnostikinställningar stöder inte export av flerdimensionella mått.

Utgående anslutning med en NAT-gateway

Hur kan jag använda en NAT-gateway för att ansluta utgående trafik i en konfiguration där jag för närvarande använder en annan tjänst för utgående trafik?

En NAT-gateway ansluter automatiskt utgående till Internet efter att ha kopplats till en offentlig IP-adress eller ett prefix och ett undernät. En NAT-gateway prioriteras framför Azure Load Balancer med utgående regler, offentliga IP-adresser på instansnivå på virtuella datorer (VM) och Azure Firewall för utgående anslutning.

Avbryts anslutningar efter att en NAT-gateway har bifogats till ett undernät där en annan tjänst för närvarande används för utgående anslutning?

Nej, anslutningarna störs inte. Befintliga anslutningar med den tidigare utgående tjänsten (Load Balancer, Azure Firewall, offentliga IP-adresser på instansnivå) fortsätter att fungera tills anslutningarna stängs. När en NAT-gateway har lagts till i undernätet för det virtuella nätverket använder alla nya anslutningar en NAT-gateway för att upprätta utgående anslutningar.

Kan en offentlig NAT-gateway ansluta direkt till en privat IP-adress via Internet?

Nej, en offentlig IP-adress för en NAT-gateway kan inte ansluta direkt till en privat IP-adress via Internet.

Om flera offentliga IP-adresser tilldelas till en NAT-gatewayresurs, avbryts trafikflödet när en av IP-adresserna tas bort?

Alla aktiva anslutningar som är associerade med en offentlig IP-adress avslutas när den offentliga IP-adressen tas bort. Om NAT-gatewayresursen har flera offentliga IP-adresser distribueras ny trafik mellan de tilldelade IP-adresserna.

Vad betyder det när jag ser en IP-adress som används för att ansluta utgående som skiljer sig från min offentliga IP-adress för NAT-gateway?

Det finns några möjliga orsaker till varför du kan se en annan IP-adress som används för att ansluta utgående än den som är associerad med din NAT-gateway. Hjälp med felsökning finns i felsökningsguiden för Azure NAT Gateway-anslutning.

Förbindelseleder

Vad händer med en NAT-gateway om jag tvingar tunneltrafik 0.0.0.0/0 (Internet) till en NVA, Azure VPN Gateway eller Azure ExpressRoute?

En NAT-gateway använder ett undernäts systemstandardsökväg till Internet för att dirigera trafik till Internet. Trafiken passerar inte via en NAT-gateway om en användardefinierad väg skapas för att dirigera 0.0.0.0/0-trafik till nästa virtuella nätverksinstallation av hopptyp (NVA) eller en virtuell nätverksgateway.

Vilken konfiguration måste jag göra i undernätets routningstabell för att ansluta utgående med en NAT-gateway?

Ingen konfiguration i undernätets routningstabell krävs för att börja ansluta utgående trafik med en NAT-gateway. När en NAT-gateway tilldelas till ett undernät blir NAT-gatewayen nästa hopptyp för all internetriktad trafik. Trafik kan börja ansluta utgående trafik till Internet så snart NAT-gatewayen har tilldelats till ett undernät och minst en offentlig IP-adress.

NAT-gatewaykonfigurationer

Kan en NAT-gateway distribueras utan en offentlig IP-adress eller ett undernät?

Ja, en NAT-gateway kan distribueras utan en offentlig IP-adress eller prefix och undernät. Den fungerar dock inte förrän du har bifogat minst en offentlig IP-adress eller ett prefix och ett undernät.

Är nat-gatewayens offentliga IP-adress statisk?

Ja, offentliga IP-adresser på NAT-gatewayen är fasta och ändras inte.

Hur många offentliga IP-adresser kan kopplas till en NAT-gateway?

En NAT-gateway kan använda upp till 16 offentliga IP-adresser. En NAT-gateway kan använda valfri kombination av offentliga IP-adresser och offentliga IP-prefix på totalt 16 adresser. En NAT-gateway har stöd för följande prefixstorlekar: /28 (16 adresser), /29 (8 adresser), /30 (4 adresser) och /31 (2 adresser).

Hur kan jag använda anpassade IP-prefix (BYOIP) med en NAT-gateway?

Du kan använda offentliga IP-prefix och adresser som härletts från anpassade IP-prefix, även kallade BYOIP (Bring Your Own IP) med din NAT-gateway. Mer information finns i BYOIP (Custom IP address prefix).

Kan en offentlig IPv6-IP-adress användas med en NAT-gateway?

Nej, en NAT-gateway stöder inte offentliga IP-adresser för IPv6. Du kan dock ha en konfiguration med dubbla staplar med en NAT-gateway och en lastbalanserare för att tillhandahålla utgående IPv4- och IPv6-anslutning. Mer information finns i Konfigurera utgående anslutning med dubbla staplar med en NAT-gateway och en offentlig lastbalanserare.

Kan offentliga IP-adresser med routningsinställningen "Internet" användas med en NAT-gateway?

Nej, en NAT-gateway stöder inte offentliga IP-adresser med routningsinställningen "Internet". En lista över Azure-tjänster som stöder routningskonfigurationstypen "internet" på offentliga IP-adresser finns i Tjänster som stöds för routning via offentligt Internet.

Kan offentliga IP-adresser med DDoS-skydd aktiverat användas med en NAT-gateway?

Nej, en NAT-gateway stöder inte offentliga IP-adresser med DDoS-skydd aktiverat. Mer information finns i DDoS-begränsningar.

Kan offentliga IP-adresser för en befintlig NAT-gateway ändras?

Nej, adressen för en befintlig offentlig IP-adress kan inte ändras. Om du behöver ändra den offentliga IP-adressen på din NAT-gateway kan du läsa Lägga till eller ta bort en offentlig IP-adress för vägledning.

Vilka offentliga IP-adresser använder mina undernätsresurser om flera offentliga IP-adresser tilldelas till en NAT-gateway?

Dina undernätsresurser kan använda någon av de offentliga IP-adresser som är kopplade till NAT-gatewayen för utgående anslutning. Varje gång en ny utgående anslutning görs via en NAT-gateway väljs den utgående offentliga IP-adressen slumpmässigt.

Kan jag tilldela en av mina offentliga IP-adresser för NAT-gatewayen till en specifik virtuell dator eller ett undernät som endast ska användas för att ansluta utgående trafik?

Nej. IP-tilldelning till specifika undernät eller VM-instanser i ett NAT-gatewaykonfigurerat undernät stöds inte.

Kan en NAT-gateway kopplas till flera virtuella nätverk?

Nej, en NAT-gateway kan inte kopplas till flera virtuella nätverk.

Kan en NAT-gateway kopplas till flera undernät?

Ja, en NAT-gateway kan associeras med upp till 800 undernät i ett virtuellt nätverk. Det krävs inte att associeras med alla undernät i ett virtuellt nätverk.

Kan en NAT-gateway kopplas till ett gateway-undernät?

Nej, en NAT-gateway kan inte associeras med ett gatewayundernät .

Kan flera NAT-gatewayer kopplas till ett enda undernät?

Nej, en NAT-gateway fungerar baserat på undernätets egenskaper, så flera NAT-gatewayer kan inte kopplas till ett enda undernät.

Fungerar en NAT-gateway i en nav-och-eker-nätverksarkitektur?

Trafik från de virtuella ekernätverken kan dirigeras till det centrala virtuella hubbnätverket via en NVA eller Azure Firewall. En NAT-gateway kan sedan tillhandahålla utgående anslutning för alla virtuella ekernätverk från det centraliserade hubbnätverket. Information om hur du konfigurerar en NAT-gateway i en hub-and-spoke-arkitektur med NVA:er finns i Använda en NAT-gateway i ett nav-och-eker-nätverk. Information om hur du använder en NAT-gateway med Azure Firewall i en hub-and-spoke-konfiguration finns i Integrera en NAT-gateway med Azure Firewall.

Tillgänglighetszoner

Hur fungerar en NAT-gateway med tillgänglighetszoner?

En NAT-gateway kan vara zonindelad eller placeras i "ingen zon". Mer information finns i Azure NAT Gateway och tillgänglighetszoner. Dessutom:

  • En NAT-gateway utan zon placeras i en zon åt dig av Azure.
  • En zonindelad NAT-gateway är associerad med en specifik zon av användaren när NAT-gatewayen skapas.
  • Zonindelningskonfigurationen för en NAT-gateway kan inte ändras efter distributionen.

Kan en zonredundant offentlig IP-adress kopplas till en NAT-gateway?

Zonredundanta offentliga IP-adresser och prefix kan kopplas till antingen en NAT-gateway utan zon eller en NAT-gateway som tilldelats en specifik tillgänglighetszon. Mer information finns i Azure NAT Gateway och tillgänglighetszoner.

Azure NAT Gateway och grundläggande SKU-resurser

Är grundläggande SKU-resurser (grundläggande lastbalanserare och grundläggande offentliga IP-adresser) kompatibla med en NAT-gateway?

Nej, en NAT-gateway är kompatibel med standard-SKU-resurser. Mer information finns i Grunderna för Azure NAT Gateway. Uppgradera din grundläggande lastbalanserare och grundläggande offentliga IP-adress till standard för att arbeta med en NAT-gateway. Om du vill ha mer hjälp:

Tidsgränser för anslutningar och timers

Vad är tidsgränsen för inaktivitet för en NAT-gateway?

För TCP-anslutningar är tidsgränsen för inaktiv timeout som standard 4 minuter och kan konfigureras upp till 120 minuter. Om du behöver underhålla långa anslutningsflöden använder du TCP keepalives i stället för att utöka tidsgränsen för inaktivitet. TCP keepalives underhåller aktiva anslutningar under en längre period.

Tidsgränsen för udp-inaktivitet är inställd på 4 minuter och kan inte konfigureras.

Vad är beteendet för återanvändning av SNAT-portar för en NAT-gateway?

När en TCP/UDP-anslutning stängs placeras porten i en nedkylningsperiod innan den kan återanvändas för att ansluta till samma målslutpunkt. Mer information finns i timers för återanvändning av SNAT-portar. Anslutningar som går till ett annat mål kan använda en SNAT-port direkt. Mer information finns i SNAT med Azure NAT Gateway.

NAT-gatewayintegrering med andra Azure-tjänster

Kan jag använda en NAT-gateway med Azure App Service?

Ja, en NAT-gateway kan användas med Azure App Service så att program kan dirigera utgående trafik till Internet från ett virtuellt nätverk. Om du vill använda den här integreringen mellan en NAT-gateway och Azure App Service måste regional integrering av virtuella nätverk vara aktiverad. Mer information om hur du aktiverar integrering av virtuella nätverk med en NAT-gateway finns i Azure NAT Gateway-integrering.

Kan jag använda en NAT-gateway med Azure Kubernetes Service?

Ja. Mer information om NAT-gatewayintegrering med Azure Kubernetes Service finns i Hanterad NAT Gateway.

När används NAT-gateway för att ansluta från mitt AKS-kluster till AKS API-servern?

Om du vill hantera ett AKS-kluster interagerar du med dess API-server. När du skapar ett icke-privat kluster som matchar API-serverns fullständigt kvalificerade domännamn (FQDN) tilldelas API-servern som standard en offentlig IP-adress. När du har anslutit en NAT Gateway till undernäten i aks-klustret används NAT Gateway för att ansluta till aks-API-serverns offentliga IP-adress. Mer information och designvägledning finns i Åtkomst till en AKS API-server .

Kan jag använda en NAT-gateway med Azure Firewall?

Ja, en NAT-gateway kan användas med Azure Firewall. När Azure Firewall används med en NAT-gateway bör den vara i en zonindelad konfiguration. En NAT-gateway fungerar med en zonredundant brandvägg, men vi rekommenderar inte distributionen just nu. Mer information om NAT-gatewayintegrering med Azure Firewall finns i Skala SNAT-portar med en NAT-gateway.

Ja, tillägget av en NAT-gateway till ett undernät med tjänstslutpunkter påverkar inte slutpunkterna. Tjänstslutpunkter för virtuellt nätverk aktiverar en mer specifik väg för den Azure-måltjänsttrafik som de representerar. Trafik för tjänstslutpunkten passerar Azure-stamnätet i stället för Internet. Vi rekommenderar Private Link över tjänstslutpunkter när du ansluter till Azure Platform as a Service (PaaS) direkt från ditt Azure-nätverk.

Kan jag använda en NAT-gateway med min Azure Databricks-arbetsyta?

Ja. Om du aktiverar säker klusteranslutning på din arbetsyta kan en NAT-gateway användas med Azure Databricks på något av två sätt:

  • Om du använder säker klusteranslutning med det virtuella standardnätverk som Azure Databricks skapar skapar Azure Databricks automatiskt en NAT-gateway för utgående trafik från arbetsytans undernät. NAT-gatewayen skapas i den hanterade resursgruppen som Azure Databricks hanterar. Du kan inte ändra den här resursgruppen eller några resurser som har etablerats i den.
  • Om du aktiverar säker klusteranslutning på din arbetsyta som använder virtuell nätverksinmatning kan du distribuera en NAT-gateway på båda arbetsytans undernät för att tillhandahålla utgående anslutning. Du kan ändra konfigurationen för anpassade krav på utgående anslutning i det här fallet. Mer information finns i Säker klusteranslutning.

Nästa steg

Om din fråga inte visas här kan du skicka feedback om den här sidan med din fråga. Den här informationen skapar ett GitHub-problem för produktteamet för att säkerställa att alla våra värdefulla kundfrågor besvaras.